- momentti
- 08/16/2021
- 12 luettavat minuutit
-
-
i -
v -
d -
v -
e -
+5
-
koskee: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 ja 2012 R2, Windows Server 2008 ja 2008 R2
kokonaisen Active Directory-metsän palauttaminen edellyttää joko sen palauttamista varmuuskopiosta tai Active Directory-toimialueen palvelujen (AD DS) asentamista uudelleen jokaiseen metsässä olevaan toimialueen ohjaimeen (DC). Metsän palauttaminen palauttaa jokaisen metsässä olevan verkkotunnuksen tilaansa viimeisen luotetun varmuuskopioinnin aikaan. Näin ollen palautusoperaatio johtaa ainakin seuraavien Active Directory-tietojen menettämiseen:
- kaikki objektit (kuten käyttäjät ja tietokoneet), jotka on lisätty viimeisen luotetun varmuuskopion jälkeen
- kaikki päivitykset, jotka on tehty olemassa oleviin objekteihin viimeisen luotetun varmuuskopion jälkeen
- kaikki muutokset, jotka on tehty joko konfiguraatio-osioon tai skeema-osioon AD DS: ssä (kuten skeemamuutokset) viimeisen luotetun varmuuskopion jälkeen
kunkin metsäalueen osalta, verkkotunnuksen ylläpitotilin salasanan on oltava tiedossa. Mieluiten tämä on sisäisen järjestelmänvalvojan tilin salasana. Sinun täytyy myös tietää DSRM salasana suorittaa järjestelmän tilan palauttaminen DC. Yleisesti ottaen on hyvä käytäntö arkistoida järjestelmänvalvojan tili ja DSRM: n salasanahistoria turvalliseen paikkaan niin kauan kuin varmuuskopiot ovat voimassa, eli Tombstonen käyttöiän aikana tai poistetun objektin käyttöiän aikana, jos Active Directory-Kierrätysastia on käytössä. Voit myös synkronoida DSRM-salasanan verkkotunnuksen käyttäjätilin kanssa, jotta se on helpompi muistaa. Lisätietoja on KB: n 961320 artiklassa. DSRM-tilin synkronointi on tehtävä ennen metsän talteenottoa osana valmistelua.
Huomautus
järjestelmänvalvojat-tili kuuluu oletusarvoisesti sisäänrakennettuun Järjestelmänvalvojat-ryhmään, kuten myös Toimialueen järjestelmänvalvojat-ja Enterprise-järjestelmänvalvojat-ryhmät. Tällä ryhmällä on täysi määräysvalta kaikkiin toimialueen DCs: ään.
sen määrittäminen, mitä varmuuskopioita käyttää
Varmuuskopioi säännöllisesti vähintään kaksi kirjoitettavaa DC: tä kullekin verkkotunnukselle, joten sinulla on useita varmuuskopioita, joista valita. Huomaa, että et voi käyttää vain luku-domain Controllerin (RODC) varmuuskopiota kirjoitettavan DC: n palauttamiseen. Suosittelemme, että palautat DCs: n käyttämällä varmuuskopioita, jotka on otettu muutama päivä ennen epäonnistumisen esiintymistä. Yleensä, sinun täytyy määrittää tradeoff välillä recentness ja safeness palautetut tiedot. Valitsemalla uudempi varmuuskopio palauttaa enemmän hyödyllistä tietoa, mutta se voi lisätä riskiä palauttaa vaarallisia tietoja takaisin metsään.
järjestelmän tilan varmuuskopioiden palauttaminen riippuu varmuuskopion alkuperäisestä käyttöjärjestelmästä ja palvelimesta. Esimerkiksi, sinun ei pitäisi palauttaa järjestelmän tilan varmuuskopiota eri palvelimelle. Tällöin voi nähdä seuraavan varoituksen:
” määritetty varmuuskopio on eri palvelimelta kuin nykyinen. Emme suosittele järjestelmän tilan palauttamista varmuuskopion avulla vaihtoehtoiselle palvelimelle, koska palvelin saattaa tulla käyttökelvottomaksi. Haluatko varmasti käyttää tätä varmuuskopiota nykyisen palvelimen palauttamiseen?”
jos sinun täytyy palauttaa Active Directory eri laitteistoihin, luo täydet palvelimen varmuuskopiot ja suunnittele suorittava täydellinen palvelimen palautus.
tärkeää
Windows Server 2008: sta alkaen ei tueta järjestelmän tilan varmuuskopioinnin palauttamista uuteen Windows Server-asennukseen uuteen laitteistoon tai samaan laitteistoon. Jos Windows Server on asennettu uudelleen samaan laitteistoon, kuten suositellaan myöhemmin tässä oppaassa, voit palauttaa toimialueen ohjaimen tässä järjestyksessä:
- suorita täydellinen palvelimen palautus käyttöjärjestelmän ja kaikkien tiedostojen ja sovellusten palauttamiseksi.
- suorita Järjestelmän tilan palautus wbadmin-ohjelmalla.exe merkitäkseen sysvolin arvovaltaiseksi.
lisätietoja on Microsoft KB: n artikkelissa 249694.
jos vian esiintymisajankohta ei ole tiedossa, kannattaa tutkia tarkemmin, jotta voidaan tunnistaa varmuuskopiot, jotka pitävät metsän viimeisen turvallisen tilan. Tämä lähestymistapa on vähemmän toivottava. Siksi suosittelemme, että pidät päivittäin yksityiskohtaisia lokitietoja AD DS: n terveydentilasta, jotta voidaan määrittää arvioitu vikaantumisajankohta, jos kyseessä on metsänlaajuinen vika. Kannattaa myös pitää paikallinen kopio varmuuskopioista, jotta toipuminen nopeutuu.
jos Active Directory-Kierrätysastia on käytössä, varmuuskopioinnin käyttöikä on yhtä suuri kuin deletedObjectLifetime-arvo tai tombstoneLifetime-arvo, sen mukaan kumpi on pienempi. Lisätietoja on ohjeaiheessa Active Directory – roskakorin vaiheittainen opas (https://go.microsoft.com/fwlink/?LinkId=178657).
vaihtoehtona voit käyttää myös Active Directory-tietokannan asennustyökalua (Dsamain.exe) ja LDAP (Lightweight Directory Access Protocol) – työkalu, kuten Ldp.exe – tai Active Directory-käyttäjät ja tietokoneet, joiden avulla voidaan tunnistaa, mikä varmuuskopio on metsän viimeinen turvallinen tila. Windows Server 2008-ja myöhemmissä Windows Server-käyttöjärjestelmissä mukana oleva Active Directory-tietokannan asennustyökalu paljastaa LDAP-palvelimena varmuuskopioihin tai tilannekuviin tallennetut Active Directory-tiedot. Sitten, voit käyttää LDAP työkalu selata tietoja. Tämä lähestymistapa on etu ei vaadi käynnistämään mitään DC hakemistopalvelujen Palautustila (DSRM) tutkia sisällön varmuuskopion AD DS.
lisätietoja Active Directory – tietokannan asennustyökalun käytöstä on Active Directory-tietokannan asennustyökalun askel askeleelta-oppaassa.
Voit myös käyttää Ntdsutil snapshot-komentoa luodaksesi tilannekuvia Active Directory-tietokannasta. Ajoittamalla tehtävän luoda ajoittain tilannekuvia, voit saada lisäkopioita Active Directory-tietokannasta ajan myötä. Voit käyttää näitä kopioita paremmin tunnistaa, kun metsän laajuinen vika tapahtui ja valitse sitten paras varmuuskopio palauttaa. Voit luoda tilannekuvia käyttämällä Windows Server 2008: n kanssa toimivaa Ntdsutil-versiota tai Windows Vistan tai uudemman version Remote Server Administration Tools (RSAT) – versiota. Target DC voi suorittaa minkä tahansa version Windows Server. Lisätietoja Ntdsutil snapshot-komennon käytöstä on ohjeaiheessa Snapshot.
sen määrittäminen, mitkä toimialueen ohjaimet palauttaa
palautusprosessin helppous on tärkeä tekijä päätettäessä, minkä toimialueen ohjaimen palauttaa. On suositeltavaa olla oma DC kunkin verkkotunnuksen, joka on ensisijainen DC palauttaminen. Oma palautustasavirta helpottaa luotettavasti metsän talteenoton suunnittelua ja toteuttamista, koska käytät samaa lähdekonfiguraatiota, jota käytettiin palautustestien suorittamiseen. Voit script elpyminen, eikä taistella eri kokoonpanoissa, kuten onko DC omistaa operations master roolit vai ei, tai onko se GC tai DNS-palvelin vai ei.
Huomautus
vaikka ei ole suositeltavaa palauttaa operaatiomestarin roolia yksinkertaisuuden vuoksi, jotkut organisaatiot voivat valita sellaisen palauttamisen muiden etujen vuoksi. Esimerkiksi rid-Masterin palauttaminen voi auttaa ehkäisemään ongelmia ridien hallinnassa toipumisen aikana.
valitse DC, joka parhaiten täyttää seuraavat kriteerit:
-
DC, joka on kirjoitettava. Tämä on pakollista.
-
DC käynnissä Windows Server 2012 virtuaalikoneena hypervisor, joka tukee vm-GenerationID. Tätä DC: tä voidaan käyttää kloonauksen lähteenä.
-
tasavirta, joka on saavutettavissa joko fyysisesti tai virtuaalisessa verkossa ja mieluiten datakeskuksessa. Näin voit helposti eristää sen verkosta metsän talteenoton aikana.
-
DC, joka on hyvä täyden palvelimen varmuuskopiointi. Hyvä varmuuskopio on varmuuskopio, joka voidaan palauttaa onnistuneesti, otettiin muutama päivä ennen vika, ja sisältää niin paljon hyödyllistä tietoa kuin mahdollista.
-
DC, joka oli Domain Name System (DNS) – palvelin ennen vikaantumista. Tämä säästää DNS: n asentamiseen tarvittavaa aikaa.
-
jos käytät myös Windowsin käyttöönottopalveluja, valitse DC, jota ei ole määritetty käyttämään BitLocker Network Unlock. Tässä tapauksessa BitLocker Network Unlock ei tueta käytettäväksi ensimmäisen DC että palautat varmuuskopiosta aikana metsän talteenotto.
BitLocker Network Unlock ainoana avainsuojana ei voi käyttää DCs: ssä, jossa on otettu käyttöön Windows Deployment Services (WDS), koska tämä johtaa skenaarioon, jossa ensimmäinen DC vaatii Active Directoryn ja WDS: n toimimaan lukituksen avaamiseksi. Mutta ennen kuin palautat ensimmäisen DC: n, Active Directory ei ole vielä saatavilla WDS: lle, joten sitä ei voi avata.
jos haluat määrittää, onko tasavirta määritetty käyttämään BitLocker Network Unlock-avainta, tarkista, että verkon lukituksen varmenne on tunnistettu seuraavasta rekisteriavaimesta:
Hkey_ Local_machinesoftwarepoliciesmicrosoftsystemcertificatesfve_nkp
säilytä suojausmenettelyt käsiteltäessä tai palauttaa varmuuskopiotiedostoja, jotka sisältävät Active Directory. Metsien elvyttämiseen liittyvä kiire voi tahattomasti johtaa siihen, että turvallisuuden parhaat käytännöt sivuutetaan. Lisätietoja on Osassa” Establishing Domain Controller Backup and Restore Strategies ” Best Practice Guide for Securing Active Directory Installations and Day-to-Day Operations: Part II.
Tunnista nykyinen metsän rakenne ja TASAVIRTAFUNKTIOT
Määritä nykyinen metsän rakenne tunnistamalla kaikki metsän alueet. Tee luettelo kaikista DCs kunkin verkkotunnuksen, erityisesti DCS, joilla on varmuuskopiot, ja virtualisoitu DCs, joka voi olla lähde Kloonaus. Forest root-verkkotunnuksen DCs-luettelo on tärkein, koska palautat tämän verkkotunnuksen ensin. Kun olet palauttanut forest root-verkkotunnuksen, voit saada luettelon muista verkkotunnuksista, DCs: stä ja metsäsivustoista Active Directory-laajennusten avulla.
valmista taulukko, joka näyttää kunkin tasavirta-alueen funktiot, kuten seuraavassa esimerkissä esitetään. Tämä auttaa sinua palautumaan takaisin ennen epäonnistumista kokoonpano forest elpymisen jälkeen.
| DC-nimi | käyttöjärjestelmä | FSMO | GC | RODC | varmuuskopiointi | DNS | Palvelinydin | VM | VM-GenID | ||||||
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
| DC_1 | Windows Server 2012 | skeema master, Domain naming master | Kyllä | Kyllä | Ei | Ei | Ei | Ei | Ei | Ei | Ei | Kyllä | Kyllä | Kyllä | kyllä |
| DC_2 | Windows Server 2012 | Ei mitään | Kyllä | Ei | Kyllä | Kyllä | Kyllä | Ei | Kyllä | Kyllä | |||||
| DC_3 | Windows Server 2012 | Infrastructure Master | Ei | Ei | Kyllä | Kyllä | Kyllä | Kyllä | Kyllä | Kyllä | |||||
| DC_4 | Windows Server 2012 | PDC emulator, RID Master | Kyllä | Ei | Ei | Ei | Ei | Ei | Ei | Kyllä | Kyllä | ei | |||
| DC_5 | Windows Server 2012 | Ei mitään | Ei | Ei | Kyllä | Kyllä | kyllä | Kyllä | Ei | Kyllä | Kyllä | ||||
| RODC_1 | Windows Server 2008 R2 | Ei mitään | Kyllä | Kyllä | Kyllä | Kyllä | Kyllä | Kyllä | Ei | ||||||
| RODC_2 | Windows Server 2008 | Ei mitään | Kyllä | Kyllä | Ei | Kyllä | Kyllä | Kyllä | Ei |
kunkin toimialueen metsässä, tunnistaa yhden kirjoittava DC, joka on luotettava varmuuskopiointi Active Directory-tietokannan toimialueen. Käytä varovaisuutta, kun valitset varmuuskopion DC: n palauttamiseksi. Jos vikapäivä ja syy ovat suunnilleen tiedossa, yleinen suositus on käyttää varmuuskopiota, joka on tehty muutamaa päivää ennen kyseistä päivämäärää.
tässä esimerkissä on neljä varaehdokasta: DC_1, DC_2, DC_4 ja DC_5. Näistä vara-ehdokkaista palautat vain yhden. Suositeltu tasavirta on DC_5 seuraavista syistä:
- se täyttää vaatimukset sen käyttämisestä virtualisoidun DC-kloonauksen lähteenä, eli se ajaa Windows Server 2012: n virtuaalisena DC: nä hypervisorilla, joka tukee VM-Generationidia, ajaa ohjelmistoa, joka on sallittua kloonata (tai joka voidaan poistaa, jos sitä ei voida kloonata). Palautuksen jälkeen PDC-emulaattorirooli takavarikoidaan kyseiselle palvelimelle ja se voidaan lisätä verkkotunnuksen Kloneable Domain Controllers-ryhmään.
- se suorittaa täyden asennuksen Windows Server 2012. DC, joka toimii palvelimen ydin asennus voi olla vähemmän kätevä kohde hyödyntämistä.
- se on DNS-palvelin. Siksi DNS: ää ei tarvitse asentaa uudelleen.
huomaa
koska DC_5 ei ole globaali luettelopalvelin, sillä on myös siinä mielessä etu, että maailmanlaajuista luetteloa ei tarvitse palauttaa palautuksen jälkeen. Mutta se, onko DC myös globaali luettelopalvelin, ei ole ratkaiseva tekijä, koska Windows Server 2012: sta alkaen kaikki DCs: t ovat oletusarvoisesti maailmanlaajuisia luettelopalvelimia, ja globaalin luettelon poistaminen ja lisääminen palauttamisen jälkeen on suositeltavaa joka tapauksessa osana metsien toipumisprosessia.
metsän kunnostaminen eristyksissä
suositeltavinta on sulkea kaikki kirjoitettavat DCs: t ennen kuin ensimmäinen kunnostettu DC saadaan takaisin tuotantoon. Näin varmistetaan, että mahdolliset vaaratiedot eivät toistu takaisin talteen otettuun metsään. Erityisen tärkeää on lakkauttaa kaikki operaatioiden pääroolin haltijat.
Huomautus
saattaa olla tapauksia, joissa siirrät ensimmäisen DC: n, jonka aiot palauttaa kullekin verkkotunnukselle, eristettyyn verkkoon samalla kun annat muiden DCs: ien pysyä verkossa järjestelmän seisokkien minimoimiseksi. Esimerkiksi, jos olet toipumassa epäonnistuneesta skeema päivitys, voit valita pitää toimialueen ohjaimet käynnissä tuotantoverkossa, kun suoritat palautusvaiheet erillään.
jos käytät virtualisoituja DCs-järjestelmiä, voit siirtää ne tuotantoverkosta eristettyyn virtuaaliverkkoon, jossa suoritat palautuksen. Virtualisoitujen DCs: ien siirtäminen erilliseen verkkoon tarjoaa kaksi etua:
- talteen otetut DCs: t estävät metsien elpymisen aiheuttaneen ongelman uusiutumisen, koska ne ovat eristyksissä.
- virtualisoitu DC-Kloonaus voidaan suorittaa erillisessä verkossa siten, että kriittinen määrä DCs: iä voidaan suorittaa ja testata ennen kuin ne tuodaan takaisin tuotantoverkkoon.
jos käytät DCs: ää fyysisellä laitteistolla, Irrota verkkokaapeli ensimmäisestä DC: stä, jonka aiot palauttaa forest root-verkkotunnuksessa. Jos mahdollista, irrota myös kaikkien muiden DCs: n verkkokaapelit. Tämä estää DCs: n monistumisen, jos ne käynnistyvät vahingossa metsän talteenoton yhteydessä.
moneen paikkaan levittäytyvässä laajassa metsässä voi olla vaikea taata, että kaikki kirjoitettavat DCs: t suljetaan. Tästä syystä palautusvaiheet—kuten tietokonetilin ja krbtgt-tilin nollaaminen metadatan puhdistamisen lisäksi-on suunniteltu varmistamaan, että talteen otetut kirjalliset DCs: t eivät toistu vaarallisten kirjoitettavien DCs: ien kanssa (jos osa on vielä verkossa metsässä).
kuitenkin vain ottamalla kirjoitettavat DCs: t offline-tilassa voit taata, ettei replikaatiota tapahdu. Siksi, aina kun mahdollista, sinun tulisi ottaa käyttöön etähallintateknologia, joka voi auttaa sinua sulkemaan ja fyysisesti eristämään kirjoitettavat DCs: t metsän talteenoton aikana.
RODCs voi jatkaa toimintaansa kirjoitettavien DCs: ien ollessa offline-tilassa. Mikään muu DC ei suoraan jäljittele mitään muutoksia mistä tahansa RODC—erityisesti, ei skeema tai kokoonpano kontti muutoksia – joten ne eivät aiheuta samaa riskiä kuin writeable DCs talteenoton aikana. Kun kaikki kirjoitettavat DCs on palautettu ja verkossa, sinun pitäisi rakentaa kaikki RODCs.
RODCs sallii edelleen pääsyn paikallisiin resursseihin, jotka on talletettu välimuistiin sen omissa toimipaikoissa, kun elvytystoimet ovat käynnissä samanaikaisesti. Paikallisilla resursseilla, joita ei ole välimuistissa RODC: ssä, on todennuspyynnöt, jotka lähetetään kirjoitettavaan DC: hen. Nämä pyynnöt epäonnistuvat, koska kirjoitettavat DCs: t ovat offline-tilassa. Jotkin toiminnot, kuten salasanojen muutokset, eivät myöskään toimi ennen kuin palautat kirjoitettavan DCs: n.
jos käytät hub-ja-speak-verkkoarkkitehtuuria, voit keskittyä ensin hub-sivustojen kirjoitettavien DCs: ien palauttamiseen. Myöhemmin Rodceja voi rakentaa uudelleen syrjäseuduilla.
- AD Forest Recovery – preparations
- AD Forest Recovery – developing a custom forest recovery plan
- AD Forest Recovery – Identify the problem
- AD Forest Recovery – Determine how to recovery
- AD Forest Recovery – performance initial recovery
- AD Forest Recovery – Procedures
- ad Forest recovery – frequently asked questions
- ad Forest recovery – recovery a single domain within a Multidomain Forest
- ad Forest recovery – Forest recovery with Windows Server 2003 domain controllers